Selezionare casi.Select Cases.Il casi pagina consente di sapere quanti case si dispone, quanti sono aprire, quanti è stata impostata su In corso, e quanti sono chiusi.The Cases page lets you know how many cases you have, how many are open, how many you've set to In progress, and how many are closed.Per ogni caso, è possibile visualizzare l'ora in cui che si è verificato e lo stato del case.For each case, you can see the time it occurred, and the status of the case.Esaminare il livello di gravità a decidere come gestire prima.Look at the severity to decide what to handle first.Nel casi pagina, fare clic sui avvisi scheda per visualizzare tutti gli avvisi correlati a un case.In the Cases page, click the Alerts tab to see all the alerts that are related to a case.Le entità che è stata mappata in precedenza come parte del case può essere visualizzati nei entità scheda. È possibile filtrare i case in base alle esigenze, ad esempio per lo stato o gravità.Entities that you mapped earlier as part of the case can be viewed in the Entities tab. You can filter the cases as needed, for example by status or severity.Quando si esamina il casi scheda, si noterà open case che contengono gli avvisi attivati per le regole di rilevamento nella Analitica.When you look at the Cases tab, you'll see open cases that contain alerts triggered by your detection rules defined in Analytics.Nella parte superiore si noterà i casi attivi, i nuovi casi e, in casi lo stato di avanzamento.Across the top you'll see your active cases, new cases and in progress cases.È anche possibile visualizzare una panoramica di tutti i case in base alla gravità.You can also see an overview of all your cases by severity.

Per avviare un'indagine, fare clic su un caso specifico.To begin an investigation, click on a specific case.A destra, è possibile visualizzare informazioni dettagliate per il case, inclusi la gravità, riepilogo del numero di entità coinvolte (basata su un mapping).On the right, you can see detailed information for the case including its severity, summary of the number of entities involved (based on your mapping).Ogni case ha un ID univoco.Each case has a unique ID.La gravità del case è determinata in base all'avviso più grave incluso nel caso.The severity of the case is determined according to the most severe alert included in the case.

Nel avvisi scheda, esaminare l'avviso, quando è stata attivata e da quanto ha superato le soglie impostate.In the Alerts tab, review the alert itself - when it was triggered and by how much it exceeded the thresholds you set.È possibile visualizzare tutte le informazioni pertinenti relative all'avviso: la query che ha attivato l'avviso, il numero di risultati restituiti per ogni query e la possibilità di eseguire Playbook per gli avvisi.You can see all relevant information about the alert – the query that triggered the alert, the number of results returned per query, and the ability to run playbooks on the alerts.Eseguire il drill-verso il basso, ulteriormente nel case, fare clic sul numero di riscontri.To drill down even further into the case, click on the number of hits.Verrà visualizzata la query che ha generato i risultati e i risultati che ha attivato l'avviso in Log Analitica.This opens the query that generated the results and the results that triggered the alert in Log Analytics.

Nel entità scheda, è possibile visualizzare tutte le entità che è stata mappata come parte della definizione della regola di avviso.In the Entities tab, you can see all the entities that you mapped as part of the alert rule definition.

Casi possono essere assegnati a un utente specifico.Cases can be assigned to a specific user.Per ogni caso è possibile assegnare un proprietario, impostando il case proprietario campo.For each case you can assign an owner, by setting the case owner field.Iniziano tutti casi come non assegnati.All cases start as unassigned.È possibile analizzare i casi e filtrare per il nome per visualizzare tutti i case che si è proprietari.You can go into the cases and filter by your name to see all the cases that you own.

Rispondere alle minacceRespond to threats

Sentinel Azure offre due opzioni principali per rispondere alle minacce tramite Playbook.Azure Sentinel gives you two primary options for responding to threats using playbooks.È possibile impostare un playbook da eseguire automaticamente quando viene attivato un avviso oppure è possibile eseguire manualmente un playbook in risposta a un avviso.You can set a playbook to run automatically when an alert is triggered, or you can manually run a playbook in response to an alert.

È possibile impostare un playbook da eseguire automaticamente quando viene attivato un avviso quando si configura il playbook.You can set a playbook to run automatically when an alert is triggered when you configure the playbook.

È possibile eseguire manualmente un playbook all'interno dell'avviso, facendo clic Visualizza i Playbook e quindi selezionando un playbook per l'esecuzione.You can manually run a playbook from inside the alert, by clicking View playbooks and then selecting a playbook to run.